Tento typ podvodů se v posledních několika letech znásobil.
Podvody s QR kódy, známé jako „quishing“, jsou stále častější, zejména proto, že se v posledních několika letech v souvislosti s programem COVID masivně rozšířilo používání QR kódů. Tyto kódy, které byly původně určeny k usnadnění rychlého a snadného přístupu k informacím nebo službám, se staly běžným nástrojem v restauracích, obchodech a na akcích, aby se minimalizoval fyzický kontakt.
Jak uvádí BBC, tento typ podvodů, za nimiž stojí především zločinecké organizace, vzrostl ze 100 případů nahlášených ve Spojeném království v roce 2019 na 1 386 stížností v roce 2024. Tento nárůst případů podvodů upozorňuje na to, že spotřebitelé musí být při skenování QR kódů obezřetnější.
Zločinci často umisťují vlastní falešné QR kódy na místa, kde se běžně platí bezkontaktně, jako jsou parkovací automaty a jídelní lístky v restauracích. Své podvodné kódy jednoduše nalepí na původní QR kód a oklamou tak nic netušící uživatele. Tato metoda je obzvláště účinná, protože uživatelé často důvěřují legitimitě prostředí, ve kterém se nacházejí a netuší, že jednoduchý kód může být vstupní branou pro podvodníky.
Katherine Hartová, vedoucí pracovnice Institutu pro obchodní standardy ve Velké Británii, varuje, že tyto podvody jsou značně podhodnocené a představují pro úřady na celém světě obrovskou výzvu.
„Tímto způsobem jsme zaznamenali obrovské ztráty. Některým lidem zmizely jejich celoživotní úspory a tyto peníze skončily ve financování zločinců,“ vysvětluje Hartová.
Anonymita, kterou QR kódy nabízejí, navíc ztěžuje vypátrání pachatelů, což dále komplikuje práci úřadů.
Zavádějící QR kódy se objevily také na obalech, e-mailech a dokonce i v televizi, jak uvádí média. Po naskenování mobilním telefonem jsou oběti přesměrovány na webové stránky ovládané podvodníky, kde jsou zmanipulovány k předání osobních a bankovních údajů. To zdůrazňuje, že je důležité před naskenováním QR kódu ověřit jeho zdroj.
Quishing or QRshing is a form of phishing.
— Massimo (@Rainmaker1973) March 24, 2025
It uses QR codes to send users to a fake website that spreads malware or elicits confidential information. Sometimes they can even trick you into paying sum of moneys.pic.twitter.com/ztRGEESYFB
Podle Harta je pravděpodobné, že mnoho lidí, kteří tyto podvodné kódy umísťují, patří k nejnižší úrovni organizované zločinecké hierarchie a nemusí si být ani vědomi všech důsledků svého jednání. Tato skutečnost poukazuje na složitost těchto zločineckých sítí, které fungují podobně jako obchodní organizace, s různými úrovněmi odpovědnosti a znalostí.
Média upozorňují na případ Miltona Hawortha, který na parkovišti městské rady v Castlefordu v hrabství West Yorkshire ve Velké Británii naskenoval pomocí mobilního telefonu QR kód. Kód ho nasměroval ke stažení neautorizované aplikace, kde souhlasil se zaplacením 90 pencí (26 korun) za ověření svých bankovních údajů. Místo platby za parkování však zjistil, že si předplatil službu s ročním poplatkem 39 liber (1.150 korun) bez možnosti vrácení peněz. Tento případ ilustruje, jak mohou podvodníci využívat klamavé taktiky k nezákonnému získání finančního prospěchu.
„Domníval jsem se, že jsem za parkování zaplatil, ale uvědomil jsem si, že se jedná o podvod, když jsem si druhý den všiml, že mi z účtu odešlo 39 liber (1.150 korun). Na ceduli stálo, že mám k parkování použít kód a já jsem nikdy neslyšel o tom, že by se QR kódy používaly jako podvod.“
Podobné zkušenosti jsou stále častější a upozorňují na to, že je třeba, aby si spotřebitelé více uvědomovali rizika spojená s používáním QR kódů. Oběti často zpočátku přicházejí o malé částky, zatímco podvodníci shromažďují údaje potřebné k zahájení „sekundárního podvodu“.
„Můžete přijít o 2,99 libry (87 korun) a mnoho lidí to nenahlásí a neuvědomí si, že své údaje předali zločinecké organizaci,“ vysvětlil Hart.
Tato nenápadná strategie umožňuje podvodníkům shromažďovat cenné informace, aniž by vzbudili okamžité podezření.
O několik dní nebo týdnů později jim zavolají a oznámí jim, že se stali obětí podvodu. Mohou přesně určit konkrétní den, protože už mají všechny informace, které jste jim předtím sdělili. Pomocí velmi nátlakové taktiky vás přesvědčí, že jsou z vaší banky, policie nebo útvaru na ochranu spotřebitele a chtějí vám vzít vše, co máte. Taková taktika se nazývá „sociální inženýrství“ a je mocným nástrojem v arzenálu kyberzločinců.
Jedna z parkovacích společností, National Car Parks, která spravuje 800 parkovišť ve Velké Británii, zvažuje odstranění QR kódů ze svého značení. Společnost již zavedla „přísný proces“, který má zabránit kompromitaci QR kódů a který zahrnuje každodenní kontroly značek a ověřování kódů. Tento krok odráží proaktivní snahu chránit spotřebitele a udržet důvěru ve své služby.
Odemyká se tím nový strach: strach z toho, že nás někdo podvede, když naskenujeme QR kód, který považujeme za legitimní. Proto bychom měli být v těchto případech vždy ostražití, zejména pokud jsme po naskenování QR kódu vyzváni k zaplacení nějaké částky nebo přesměrováni na podezřelou webovou stránku. Kromě toho je vhodné používat aplikace pro skenování QR kódů, které před otevřením odkazu nabízejí jeho náhled, abychom si ověřili jeho pravost.
Jak upozorňují Národní agentura pro boj proti trestné činnosti a Národní centrum kybernetické bezpečnosti, je podle nich nezbytné, aby lidé zůstali ostražití vůči kybernetickým zločincům. Doporučují vždy ověřit pravost QR kódu před jeho naskenováním, zejména pokud se jedná o platby. Doporučují také, aby společnosti zavedly další bezpečnostní opatření, jako je používání holografických značek nebo dynamických QR kódů, které se často mění, aby se podvodníkům ztížila manipulace s nimi.